Zu Inhalt springen

FREIE LIEFERUNG AB 350 ZŁ - JETZT KAUFEN 📦

Cold Boot Attack – jak działa i dlaczego nadal stanowi realne zagrożenie?
Juli 9, 2025 SAPSAN TEAM

Cold Boot Attack – wie funktioniert er und warum stellt er immer noch eine reale Bedrohung dar?

Jetzt, wo uns fortschrittliche kryptografische Sicherheitsmaßnahmen, Multi-Faktor-Authentifizierung und Festplattenverschlüsselung umgeben, könnte es scheinen, dass physischer Zugang zum Computer keine reale Bedrohung mehr für die Vertraulichkeit von Daten darstellt. Und doch gibt es eine Technik, die selbst die am besten geschützten Systeme umgehen kann. Es ist der Cold Boot Attack, auch bekannt als Kaltstart-Angriff. Obwohl er vor über einem Jahrzehnt entdeckt wurde, bereitet er Cybersicherheitsexperten immer noch Sorgen, weil er zeigt, wie eine kleine Lücke in der Logik des RAM-Speichers zu einem Einfallstor für die Entschlüsselung von Schlüsseln, Passwörtern oder Benutzerdaten werden kann. Warum funktioniert diese Art von Angriff trotz technologischen Fortschritts immer noch?

Was ist ein Cold Boot Attack?

Ein Cold Boot Attack (engl. cold boot attack, auf Deutsch auch: Kaltstart-Angriff) ist eine Technik zur Wiederherstellung von Daten aus dem Arbeitsspeicher eines Computers (RAM), die die physischen Eigenschaften dieses Speichers ausnutzt – konkret die Tatsache, dass im RAM gespeicherte Daten nicht sofort nach dem Abschalten der Stromversorgung verschwinden. Wie ist das möglich? Entgegen der landläufigen Meinung verliert der RAM seinen Inhalt nicht im Moment des Ausschaltens des Computers. Seine Daten „erlöschen" allmählich – sie können mehrere bis mehrere Dutzend Sekunden bestehen bleiben, und bei niedriger Temperatur (z.B. nach dem Kühlen der Speichermodule mit flüssigem Stickstoff oder Kühlspray) sogar mehrere Minuten. Das ist der sogenannte Remanenzeffekt (data remanence), der die physische Wiederherstellung von Informationen im RAM ermöglicht – auch wenn das System zuvor ausgeschaltet wurde.

Kaltstart-Angriff – ist er gefährlich?

Cold Boot Attack ist gefährlich, weil er die logische Sicherheitsebene umgeht – er bricht keine Passwörter oder Verschlüsselungen mit „traditionellen" Methoden. Stattdessen nutzt er die Tatsache aus, dass der Computer zu einem bestimmten Zeitpunkt z.B. Verschlüsselungsschlüssel im RAM speichern muss, damit das System arbeiten kann. Wenn ein Angreifer physischen Zugang zum Gerät erhält – auch nur für ein paar Sekunden – kann er Informationen erlangen, die theoretisch unzugänglich sein sollten.

Trotz der Entwicklung von Sicherheitsmaßnahmen funktioniert der Cold Boot Attack immer noch, weil er auf physischen Eigenschaften des RAM-Speichers basiert, die unverändert bleiben. Daten im RAM verschwinden nicht sofort nach dem Abschalten der Stromversorgung – sie können mehrere oder sogar mehrere Dutzend Sekunden bestehen bleiben, besonders nach dem Kühlen. In dieser kurzen Zeit ist es möglich, sie wiederherzustellen, z.B. Verschlüsselungsschlüssel, Passwörter oder Sitzungsinformationen.

Funktionieren Cold Boot Attacks noch?

Ja, Cold Boot Attacks können immer noch funktionieren, obwohl ihre Wirksamkeit heute deutlich geringer ist als vor über einem Jahrzehnt. Sie basieren jedoch immer noch auf demselben Mechanismus – Daten im RAM verschwinden nicht sofort nach dem Abschalten der Stromversorgung. Wenn jemand physischen Zugang zu einem Computer erhält, kann er die RAM-Module kühlen und das System schnell von einem externen Medium starten, um die verbleibenden Daten wie Verschlüsselungsschlüssel oder Passwörter zu lesen.

Moderne Computer und Betriebssysteme verwenden zunehmend Technologien, die die Durchführung eines solchen Angriffs erschweren – z.B. RAM-Verschlüsselung, TPM-Module oder sicheren Start. Dennoch bleibt der Cold Boot Attack eine reale Bedrohung, insbesondere bei Diebstahl oder unbefugtem physischen Zugang zum Gerät. Deshalb wird diese Art von Angriff in Umgebungen mit erhöhtem Risiko – wie Unternehmen, Regierungsinstitutionen oder Militär – immer noch ernst genommen.

Schauen Sie sich auch den beliebten Blogbeitrag auf Sapsan an: Wie überprüfen Sie, ob Ihre Daten in die falschen Hände geraten sind?

Was bedeutet Cold Booting?

Cold Booting bedeutet das Starten eines Computers nach vollständiger Trennung der Stromversorgung, also aus dem sogenannten „kalten Zustand". Im Gegensatz zum Warm Boot (Soft-Neustart, z.B. über Strg+Alt+Entf) tritt ein Cold Boot auf, wenn der Computer vollständig ausgeschaltet war – z.B. nach Stromausfall, Entfernen der Batterie oder physischem Neustart.

In der Praxis bedeutet Cold Booting einen vollständigen Startzyklus des Computers: von der Stromversorgung der Komponenten über die BIOS/UEFI-Initialisierung bis zum Laden des Betriebssystems. Genau dieser Moment wird beim Cold Boot Attack ausgenutzt, da der Inhalt des RAM noch eine Weile „überleben" kann – auch nach dem Ausschalten des Computers – und direkt nach dem Neustart gelesen werden kann.

Kurz gesagt:

  • Cold Booting ist ein vollständiger Computerstart „von Null"

  • Cold Boot Attack ist die Ausnutzung dieses Moments, um Daten aus dem RAM zu lesen, bevor sie gelöscht werden.

Wenn Sie sich für das Thema Cybersicherheit interessieren und Wert auf einen umfassenden Ansatz zur Datensicherheit legen, machen Sie sich mit dem Angebot des Sapsan-Shops vertraut.

Wie ist es möglich, dass Daten im RAM „bleiben" – und was hat flüssiger Stickstoff damit zu tun?

Der RAM im Computer funktioniert wie ein temporärer Notizblock – er speichert Daten nur während der Systemlaufzeit. Wenn Sie den Computer ausschalten, wird der Block theoretisch weggeworfen. Aber nicht sofort. In Wirklichkeit verschwinden die Daten im RAM nicht augenblicklich, wenn Sie plötzlich die Stromversorgung trennen. Elektronik funktioniert nach dem Prinzip elektrischer Ladungen – und diese brauchen einen Moment, um sich vollständig zu zerstreuen. Für einige, zehn und manchmal sogar mehrere Dutzend Sekunden sind die Daten noch vorhanden. Und hier kommt flüssiger Stickstoff oder andere Kühlmittel (z.B. Computerspray) ins Spiel. Je niedriger die Temperatur des RAM, desto langsamer verschwindet die darin gespeicherte Ladung. Das heißt: gekühlter RAM „hält" Daten länger.

Eine Person, die einen Cold Boot Attack durchführt, kann:

  1. Schnell die Stromversorgung des Computers trennen (damit die Daten keine Zeit zum Löschen haben).

  2. Die RAM-Module kühlen, z.B. mit flüssigem Stickstoff (hat -196°C!) oder Spray.

  3. Sofort den Computer von einem anderen Medium (z.B. USB) starten, um die verbleibenden Daten zu lesen, bevor sie verschwinden.

Es ist wie einen Moment „einzufrieren" – und in diesem Moment geheime Passwörter, Verschlüsselungsschlüssel oder offene Dokumente zu lesen, die im RAM gespeichert waren, obwohl der Computer bereits ausgeschaltet wurde.

Schlussfolgerungen

Cold Boot Attacks zeigen, obwohl sie technisch komplex erscheinen, wie wichtig ein ganzheitlicher Ansatz zur Sicherheit ist – der nicht nur logischen Schutz (wie Passwörter oder Festplattenverschlüsselung) umfasst, sondern auch die Sicherung des physischen Zugangs zur Hardware. Moderne Betriebssysteme und Geräte schützen sich immer effektiver vor dieser Bedrohung, aber denken wir daran, dass keine Technologie das Bewusstsein des Benutzers ersetzen kann!

Deshalb lohnt es sich, die Grundprinzipien zu beachten: Daten verschlüsseln, Computer ausschalten statt in den Ruhezustand zu versetzen, BIOS/UEFI konfigurieren und Hardware vor unbefugtem physischen Zugang schützen. Cold Boot Attack ist ein Beispiel dafür, dass selbst ein paar Sekunden Unachtsamkeit ausreichen können, um Daten zu verlieren, die geheim bleiben sollten. Im Zeitalter der Mobilität und Fernarbeit sollte diese Bedrohung nicht unterschätzt werden.

Vorheriger Artikel Wie Apps Ihre Privatsphäre manipulieren? Lernen Sie Dark Patterns kennen und vermeiden Sie sie
Nächster Artikel Flipper One kommt – was wissen wir bereits?

VON HACKERN FÜR HACKER